如何从非root用户运行docker container？

从非root用户运行Docker容器有两种常见的方法：

1. 使用用户命名空间（User Namespace）：用户命名空间是Linux内核提供的一种
2. 机制，可以将容器内的用户与宿主机上的用户进行隔离。通过使用用户命名空间，非root用户可以在容器内以root用户的身份运行，而在宿主机上仍然以非root用户身份运行。要使用用户命名空间，需要确保宿主机的内核版本支持，并且Docker守护进程已经启用了用户命名空间功能。
3. 使用特权模式（Privileged Mode）：特权模式允许容器内的进程拥有与宿主机相同的权限，包括root权限。通过在运行容器时添加--privileged参数，可以使容器在特权模式下运行。但是，使用特权模式可能会降低容器的安全性，因此应该谨慎使用。

无论使用哪种方法，都需要确保在构建镜像时，将容器内的用户设置为非root用户，并且在容器启动时以非root用户身份运行应用程序。

以下是一个示例Dockerfile，演示如何在容器内以非root用户身份运行应用程序：

FROM ubuntu:latest

# 创建一个新的用户
RUN useradd -ms /bin/bash myuser

# 切换到新用户
USER myuser

# 将应用程序复制到容器中
COPY myapp /app

# 设置工作目录
WORKDIR /app

# 运行应用程序
CMD ["./myapp"]

在构建镜像时，可以使用以下命令：

docker build -t myapp-image .

然后，可以使用以下命令以非root用户身份运行容器：

 

docker run -d --name myapp-container myapp-image

请注意，上述示例仅适用于演示目的，实际应用中可能需要根据具体情况进行调整。

 

转自：https://cloud.tencent.com/developer/information/%E5%A6%82%E4%BD%95%E4%BB%8E%E9%9D%9Eroot%E7%94%A8%E6%88%B7%E8%BF%90%E8%A1%8Cdocker%20container%EF%BC%9F